5G安全网络助力新基建行稳致远

发布时间：2022-01-05 15:45 所属栏目：137 来源：互联网

导读：当今世界正面临百年未有之大变局，全球新一轮科技革命和产业变革蓬勃兴起，随着以互联网和通信为代表的信息技术逐渐成为推动人类社会发展的核心动力，网络空间已成为继陆、海、空、天之后的第五空间。作为新基建重点领域之首，5G超越了移动通信的范畴，成为第

当今世界正面临“百年未有之大变局”，全球新一轮科技革命和产业变革蓬勃兴起，随着以互联网和通信为代表的信息技术逐渐成为推动人类社会发展的核心动力，网络空间已成为继陆、海、空、天之后的“第五空间”。作为新基建重点领域之首，5G超越了移动通信的范畴，成为第四次工业革命的技术基石，正在与大数据、云计算、人工智能等信息技术紧密协同，连接万物、聚合平台、赋能产业，将在经济社会发展中发挥不可估量的重要作用。但是，5G提供的新特征在带来业务支持灵活性、网络部署经济性等诸多效益的同时，也面临新业务、新架构、新技术带来的安全问题和挑战，需要基于创新思维，结合被动防御和主动防御的网络安全防护理念和措施，打造“5G安全网络”，为新基建和各行各业的安全发展保驾护航。

　　一、没有5G安全就没有产业的安全

　　现阶段，我国经济社会数字化转型呈现“五纵三横”的新特征，“五纵”是当前信息技术向经济社会加速渗透的五个典型场景，包括基础设施数字化、社会治理数字化、生产方式数字化、工作方式数字化、生活方式数字化；“三横”是当前经济社会数字化转型的三大共性需求，表现为线上化、智能化、云化。5G正在推动移动通信技术从消费侧向生产侧全面渗透，助力产业实现智能化转型。

　　二、5G安全特性与挑战

　　5G引入了新的业务和技术特征，使其具备了促进社会变革的能力。从业务层面来说，5G除了延续以大带宽能力支撑移动互联网发展之外，还提供了低时延和大连接能力，能够支撑物联网和工业互联网的发展，给千行百业的数字化转型注入动力。从技术层面来说，5G采用了基于服务的架构（SBA）和网络功能虚拟化技术，并提供网络切片能力，实现了云网一体化，能够灵活地支持具有不同网络能力需求的差异化业务场景。5G的这些新特征既带来了新的安全特性，也面临着新的安全挑战。

　　（一） 5G安全特性

　　1. 标准层面

　　从标准层面来看，5G非独立组网网络和4G网络具有相同的安全机制，并通过全球统一的高安全标准和实践不断提升其安全级别，同时，为了应对未来5G生命周期内可能出现的安全挑战，5G独立组网网络支持更多的内生安全特性，主要体现在以下几个方面：

　　（1）更好的空口安全：在2/3/4G中用户和网络之间用户数据加密保护的基础之上，5G标准进一步支持用户数据的完整性保护机制，防范针对用户数据的篡改攻击。

　　（2）增强的用户隐私保护：在2/3/4G时，用户的永久身份IMSI在空口是明文发送的，攻击者可以利用这一缺陷追踪用户。在5G中，用户永久身份SUPI以加密形式发送，可以防范“IMSICatcher”攻击。

　　2. 网络架构层面

　　从网络架构层面来看，5G采用了云网融合、网络切片和统一的安全架构，为网络和业务提供新的安全特征：

　　（1）云网融合：云网融合有利于构建端到端的内生安全体系，实现从静态防御到动态防御、被动防御到主动防御的转变，基于安全编排自动化与响应（SOAR：Security OrchestrationAutomation and Response）和软件定义安全（SDSec：Software Defined Security），对安全能力和安全服务链进行按需自动编排，建立自适应的安全防护机制。此外，还能够部署安全资源池，实现安全能力的对外开放和服务输出。

　　（2）统一安全架构：统一安全架构保证贯穿5G网络全程全网的安全一致性，保障网络层面从终端、接入网、核心网到业务网络的端到端安全。通过安全能力开放，安全一致性可以延伸到业务应用层面，实现业务应用的端到端安全。

　　（3）网络切片：网络切片通过按需组网的方式为具有差异化需求的业务建立相应的端到端虚拟网络，实现不同业务之间的逻辑隔离。网络切片除了保障业务的SLA要求之外，还能够根据业务的安全需求制定安全策略，提供相应的安全防护能力。

　　（二） 5G与垂直行业融合面临的安全挑战

　　5G“赋能垂直行业，开启万物互联”已成为全社会的共识。垂直行业是5G的主要应用场景，企业出于更高效、更安全等因素选择5G，但5G与垂直行业融合的过程中，仍然会给垂直行业带来突出的安全风险：

　　1. 应用软件存在安全漏洞：不同垂直行业及相关企业的软件开发能力参差不齐，难以形成标准的安全软件开发流程规范，部分垂直行业应用在软件开发过程中未能全面考察安全风险和安全需求，导致发布的应用程序中存在一定安全漏洞，通过5G形成万物互联网络后，给垂直行业的业务运行造成安全隐患。

　　2. 安全能力与业务未同步发展：当前的垂直行业应用开发较多使用开源平台软件，以达到应用程序快速开发和发布的目的，而安全防护能力需要适配各种软件开发和发布的速度，使其安全性得到保障，尽管业界一直在努力开拓创新的思路，但至今仍未达到期望的安全效果。

　　三、对5G安全工作模式演进的思考

　　从网络安全实践来看，当前，网络安全行业已有很多优秀的理论模型和实践案例。但总体而言，业界对于5G安全的认识理解与传统安全观较为趋同，安全范围仍然围绕“主机、系统、局域网段”等被保护对象；安全理念仍然以纵深防御、边界防护为主；安全手段仍然以病毒防护、防火墙、入侵检测等“老三样”为基础；安全运营仍然以查漏洞、打补丁等为主要工作方式。在5G网络架构云原生、服务专网化等背景下，这些传统的固有安全模式在实践中必然面临诸多挑战。

　　因此，5G时代的网络安全呼唤理论与实践的双重突破与创新。通过梳理总结与实践，我们认为5G时代网络安全防护体现为“三重境界”和“五种模式”。

　　第一重境界为确保资产“不被控”。当前，安全工作通常围绕“主机、系统或局域网”的“资产脆弱性”开展，通过针对局部保护对象的“漏洞”打补丁加固，避免或降低“漏洞”被利用的风险，实现网络资产不被控制的目标。在5G时代，基础通信运营企业还可通过采用新的虚拟补丁技术，针对漏洞攻击行为提供基于外部流量监测和防护的措施，降低漏洞被利用的可能性，可达到安全加固的目的。同时，基于零信任的安全理念，精细化权限管理和访问控制，持续做好信任评估，力争最小化漏洞被利用导致的危害范围，并及时发现和消除安全风险。

　　第二重境界为确保资产“不可达”。5G时代的远程通信具有“全程全网”的特点，以往以“一地一点”为局部保护对象的防护模式无法满足新安全需求。围绕“威胁来源”，通过优化底层承载网络的安全架构设计，由通信运营企业实施整体网络隔离，主动从源头屏蔽攻击，从而使攻击者即使了解网络资产信息，也无法获得攻击路径。

（编辑：ASP站长网）

5G安全网络 助力新基建行稳致远

5G安全网络助力新基建行稳致远